本發明公開了基于誘餌文件的勒索軟件早期檢測方法及系統，其中方法包括：首先從文件名、文件內容等角度設計誘餌文件，在勒索軟件最先訪問的文件夾中部署靜態誘餌，在當前用戶最近訪問過的文件夾中部署動態誘餌；實時監控與用戶最近訪問文件夾有關的進程事件；根據用戶最近訪問文件夾的變化情況實時地增加或刪除動態誘餌，并更新誘餌監控列表；若事件是寫入或刪除已部署的誘餌文件，則認為該事件來自于勒索軟件；若可疑事件的目標對象不是誘餌文件，則根據當前文件事件的可疑程度更新對相關進程的惡意程度評分，將超過閾值的進程標記為勒索軟件。通過測試發現，本發明對未知勒索軟件的檢測準確率均為100％，且早期檢測效果好。

技術領域

本發明涉及軟件安全技術領域，具體涉及一種基于誘餌文件的勒索軟件早期檢測方法及系統。

背景技術

勒索軟件(Ransomware)是一種通過鎖定操作系統或加密用戶數據等方式限制用戶訪問設備或數據文件，并以此向用戶勒索贖金的惡意軟件。隨著網絡的飛速發展，勒索軟件已經具有高對抗和目標精準化的特性。如何及時且準確地檢測勒索軟件，以將用戶或企業的數據或財產損失降至最低，已成為行業內的研究熱點。

針對勒索軟件的檢測方法可以分為靜態特征分析、傳統動態行為監控和基于誘餌的檢測三類。靜態特征分析指提取勒索軟件樣本的二進制文件中包含的特征信息，并利用這些靜態信息構建勒索軟件樣本的特征庫，最后與待檢測樣本進行特征匹配，以此來識別勒索軟件。但目前的靜態特征分析技術存在無法適應勒索軟件更新速度、無法對抗惡意軟件對抗技術的問題，因此對于新型或變種勒索軟件的檢測效果較差，檢測的準確性較低。

動態行為監控指在沙箱或真實計算機中執行勒索軟件樣本，并分析其行為特征。聚焦于樣本運行時的具體行為，并以此構建出勒索軟件的特征模型來動態識別勒索軟件。傳統的動態行為監控技術主要關注勒索軟件的文件訪問行為和系統API調用行為，但需要捕獲足夠多的勒索軟件運行信息才能觸發報警條件，導致其檢測不夠及時，用戶仍會遭受一定程度的損失，且難以消除正常加密和壓縮軟件對檢測結果的干擾。

目前學術與產業界主要采用動態行為監控技術檢測勒索軟件，CryptoDrop方法從文件擴展名修改、文件內容相似度變化以及文件香農熵值變化三個方面對勒索軟件行為進行建模，并在檢測過程中對待檢測進程在這三個方面的行為分別進行評分并匯總，最后將評分高于某一閾值的進程認定為勒索軟件。RansomWall方法首先通過靜態特征分析過濾出可疑的樣本，隨后通過底層驅動監控樣本的文件讀寫行為、文件遍歷以及寫入文件內容的熵值大小等文件行為并構造了隨機森林、SVM、邏輯回歸和梯度樹增強四種有監督分類器來識別勒索軟件，實驗證明梯度樹增強算法的檢測效果較好，但在靜態分析階段可能難以過濾出使用代碼加殼或混淆技術的勒索軟件，導致該方法整體漏報率上升。

在勒索軟件檢測領域，Unveil是首次提出的一種誘餌文件設計方法，該方法首先將誘餌文件分為文檔、密鑰和證書、壓縮文件以及多媒體四種文件類型。然后通過谷歌搜索查詢500個英文單詞并獲取到10萬條英文句子，隨之將所有句子進行分詞和去重構成單詞詞庫，最后隨機從詞庫中選擇單詞構成誘餌文件的文件名及文件內容。然而該文獻只說明了設計方法，未指出如何部署誘餌文件。Kumar M S等人提出將誘餌文件部署在用戶的桌面和文檔文件夾、磁盤根目錄以及網絡驅動器中，并將誘餌文件名的首字符設定為“！”。然而該方法的部署位置較少，且誘餌特征過于明顯，存在被攻擊者猜測的可能性。

綜上可以看出，傳統的靜態特征分析和動態行為監控均存在不足，現有基于誘餌的檢測方式也難以覆蓋勒索軟件文件訪問的多樣性，且往往采用靜態部署誘餌文件，但新型勒索軟件可能采取模式匹配方式對抗誘餌文件，從而導致目前檢測方法的檢測準確率偏低。

發明內容